发布日期：2007-09-19
更新日期：2007-09-19

受影响系统：

Linden Research, Inc. Second Life 1.x

描述：

---

CVE(CAN) ID: CVE-2007-4960,CVE-2007-4961

Second Life是一种基于网络的虚拟现实游戏。

Second Life安装的URI处理器实现机制上存在漏洞，远程攻击者可能利用此漏洞通过诱使用户访问恶意网页获取用户的敏感信息。

SecondLife注册的"secondlife://" URI处理器允许网站指定任意参数调用它，比如用于认证的"-autologin"和"-loginuri"参数，这样如果用户访问了带有恶意命令的网页，客户端会向发生命令的网页发送用户名和口令HASH，从而导致用户Second Life相关的敏感信息泄露。

<*来源：pdp
  
  链接：http://www.gnucitizen.org/blog/ie-pwns-secondlife
        http://secunia.com/advisories/26845/
*>

建议：

---

厂商补丁：

Linden Research, Inc.
---------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://secondlife.com/

浏览次数：2446
严重程度：0（网友投票）